1つのOUにのみgpoを適用する
1つの組織単位に対してのみGPOを作成するにはどうすればよいですか?
GPO作成したいのは非常に単純で、パスワードの最小長を設定するだけです。すべてのユーザーに同じパスワードポリシーを設定したくないので、=を適用します。 GPO特定のOU内にいるユーザーのみ。
OUで直接「このドメインにGPOを作成し、ここにリンクする」」を試しましたが、GPOがデフォルトのドメインをオーバーライドしていないようです。 。
ありがとうございました。
グループポリシー管理コンソールで適切なレベル/ OUで作成したGPOにリンクするだけで、GPOをOUに適用できます。
ただし、これはあなたがやろうとしていることにはうまくいきません。パスワードポリシーに関連するGPOは、ドメインレベルでのみ設定できます。ドメインユーザーのサブセットにポリシーを適用するには、きめ細かいパスワードポリシーを使用する必要があります。
これらはグループレベルで適用できるため、この新しいポリシーで影響を与えるすべてのユーザーが適切なグループのメンバーであることを確認する必要があります。
Windows 2012ドメインでこれを行うには、DCまたはRSATがインストールされているWindows8ワークステーションから次の手順を実行します。
- スタート画面からDSAC.EXEと入力して、ディレクトリサービス管理センターを起動します。
- System\Password SettingsContainerに移動します
- 右クリックして[新規]を選択するか、[タスク]メニューの[新規]を使用します。
- パスワード設定を選択します
そこからはかなり自明です。
Windows 2008または2008R2で実行している場合でも、きめ細かいパスワードポリシーを使用できますが、管理はそれほど簡単ではありません。正直なところ、このレベルでの私のアドバイスはアップグレードについて考えることですが、ここでも役立つかもしれない いくつかのガイド があります。
DCが古いバージョンのWindowsを実行している場合(または新しいDCを実行しているが、ドメインの機能レベルがアップグレードされていない場合)、その時点でアップグレードする選択肢はありません。
通常のパスワードポリシーは特別です。ドメイン全体で1つしか存在できません。
Server 2008の時点で、ドメインの特定の部分にのみパスワード要件を設定するために使用できるきめ細かいパスワードポリシーがあります。
http://technet.Microsoft.com/en-ca/library/cc770394(v = ws.10).aspx
それでも、それらをOUに直接適用することはできません。これらはユーザーまたはグループにのみ適用されるため、適用するすべてのユーザーでグループを作成する必要があります。
このページ には、スケジュールされたタスクとして実行され、グループのメンバーを更新してOUのメンバーのみを含めるPowerShellスクリプトの例があります。これにより、OUにユーザーを追加/削除するときに、グループとOUの同期が維持されます。
きめ細かいパスワードポリシーを作成したことを期待して、GPMCコンソールで、GPを適用するOUの下に新しいGPを作成する必要があります。 GPを定義したら、[リンクを有効にする]を選択します。サブOUがある場合は、[継承のブロック]を選択できます。したがって、理想的には、GPを適用したOUのみがリンクされます。次に、複数のOUが必要な場合GPを適用するには、OUを選択し、コンソールから既存のGPをリンクします。